毋庸讳言,电子签名认证用户在电子认证系统中的举证责任地位与电子支付系统中消费者的地位相类似。“在电子支付方面,举证责任的解除无非是将举证的不可能从一方转移到另一方。”[15]电子认证用户的证据地位如何才能得到加强,目前的情况也不明朗。认证机构仍将继续记录所有相关认证数据,其将数据提供给用户并不能改善后者的弱势地位;而用户仍将继续声称记录和信息的数据不能反映事实的真相。因此,真正的问题是认证机构记录和信息、数据的可靠性。
时至今日,各国司法部门似乎还没有找到怀疑电子认证记录和信息可靠性的理由。原因可能有二:一是电子认证设备和软件是经过充分检测的;二是保存记录乃认证业务中的一项关键管理事项,认证机构会花大量的精力以确保其可靠性。然而,问题是,电子认证系统的可靠性并没有被某个独立机构检测过。那么,是否应实施此种检测?检测结果是否应是“电子认证系统在很大程度上是可靠的”?检测结果是否很可能是“虽然每天都发生大量的电子交易但公众却并无明显的不满”?此种检测究竟能给纠纷中的用户带来多大的益处?这些都是疑问。事实上,有关机构并未对该系统产生质疑,为确定这一基点而进行的独立检测对用户的地位也将是影响甚微。因此,立法部门宜注意以下两个方面的问题。
一是信息公开问题。欲分析用户在举证责任上的真实处境,目前只能依赖于争议解决机构作出并公布的裁决以及从消费者组织处获取的信息,因此,问题的真正内涵尚无人知晓。一般来说,在没有启动认证机构内部处理程序之前,申诉是不会提交到争议解决机构或法院的;只有在无法得到内部救济或内部救济不能令用户满意时,用户才会提交仲裁或诉讼。但是,对于到底有多少申诉是通过内部程序处理的,其结果如何,缺乏深入的了解,电子认证机构也不会使这种信息公开化。所以,提交仲裁或诉讼的申诉是否仅仅是“冰山一角”或者仅仅是电子认证机构和用户之间无法解决的极少数“疑难”案件,都是讳莫如深。另一方面,消费者组织提供的信息来源于其成员的申诉以及这些组织各自的相关研究。因此,立法机构在颁发新的相关规则之前,有必要认真研究这方面的问题以加强用户的证据地位。
二是应出台一套有助于提升用户举证地位的简便方案。目前的举证规则的价值,如认证机构须证明与认证相关的信息未受技术故障或其它缺陷的影响,无疑是有限的。倘若新的立法仍然套用这一举证规则,用户将始终处于弱势地位,电子认证机构也将依然故我地以自己的保存信息作为呈堂证供。因此,如何实质性地改善现有的证据规则是目前立法机构所面临的一项艰巨任务。
【作者简介】
刘满达,宁波大学教授。
【注释】Ir.A·A·P·Schudelaro,Electronic Payments and Consumer Protection:Should Recommendation 97/489/EC Be Replaced with a Directive?Computer Law & Security Report,Vol.17,No.2(2001).
See Thomas J.Smedinghoff & Ruth Hill Bro,Moving with Change:Electronic Signature Legislation as a Vehicle for Advancing ECommerce,the John Marshall of Computer and Information Law,Vol.17,No.3,Spring 1999.
See Josh Bell,Buben Gomez,Paul Hodge,and Virtor Mayer—Schonberger, Elect ronic Signature Regulation:An Early Scorecard Comparing Electronic Signature Legislation in the us and the European Unio,Computer Law & Security Report,Vol.17,No.6(2001).
持卡人如无重大疏忽或欺诈,只要其履行了一定的通知义务,其因疏忽而泄露了信用卡号码所应承担的责任通常都有一定责任限额。如英国《银行业惯例守则》的“50英镑规则”(即在未经授权划拨时,如果持卡人发现其塑料卡遗失、被窃或第三方知悉其密码并通知了发卡银行,则持卡人的责任限制在50英镑之内,但持卡人有欺诈行为或重大疏忽的除外)、美国《电子资金划拨法》第1693(g)条的“50美元规则”(在2个营业工作日内,客户通知金融机构后,其责任不会超过实际损失和50美元两者之间的较小金额;如在2个营业工作日后通知的,则为实际损失和500美元两者之间的较小金额;但是如果向客户提交周期报表后,客户未在60日内通知金融机构,则解除未授权交易对客户责任的任何限制)以及欧盟《电子付款建议案》第6—1—2条的“150欧元规则”(如果一个电子支付工具被丢失、被窃或被欺诈性使用,持有人最多承担150欧元的损失,直到持有人通知了发行人此种情况,条件是持有人没有重大疏忽或欺诈,且持有人须按使用条款使用其支付工具)。
参见张楚:《电子商务法初论》,中国政法大学出版社2000年版,第260页。
参见王泽鉴:《民法概要》,中国政法大学出版社2003年版,第29页。
参见王泽鉴:《债法原理(一)》,中国政法大学出版社2001年版,第76页。
参见《电子签名示范法(2001)颁布指南》第111段、第114段。
同前注。
参见阿拉木斯:《反思
电子签名法》。
http://www.chinaeclaw.com/read Article. asp?id=3866,2008年8月18日访问。
其中规定,构成不可抗力的事件包括战争、恐怖袭击、罢工、自然灾害、供应商或卖方执行失败、因特网或其他基础设施的瘫痪。不可抗力条款的起草应与框架的其他部分相一致,并达到适用的服务级别协议。例如,业务连续性和灾难恢复的责任和能力可以将某些事件置于组织的可控范围之内,如在停电时启用备份电源的义务。
近年来,保险公司已开始为电子商务提供专有的保险项目。1999年伦敦劳埃德保险公司与电脑安全管理企业counterpane合作,首创“黑客保险”,承保因电脑黑客入侵导致客户资料被盗而造成的损失。美国国际集团、美国亚特兰大网上保险信托公司、英国的HISCOX保险集团、瑞士苏黎世保险公司设在美国、英国和日本的机构等都推出了针对电信、多媒体和科技类公司的病毒和黑客损失的保险险种。在“计算机保险”方面,日本早在1975年就推出了计算机系统综合保险,即硬件保险、软件保险、费用保险、利益保险。美国JSWUM公司也开办了网站及互联网安全保险。中国人民保险公司于2000年开始在全国范围内推广计算机保险,但不承保风险较难控制的计算机病毒、黑客侵害。中银保险有限公司于2005年也推出了电脑保险,承保数据处理系统设备和数据处理媒介的直接物质损失或损坏的一切风险。参见刘春年、高家望:《信息安全产业与保险业结合中存在的问题与解决方案》,《图书情报知识》2002年第1期;苏莉:《保险业发展的新空间:网络安全保险》,《金融与投资》2003年第6期;洪兴:《计算机安全责任险——保险人的盛宴,或苦果?》,《保险文化》2004年第4期;冯杰:《浅谈计算机保险》,《上海保险》1998年第2期;李丹、李俊:《信息时代呼唤信息系统安全保险》,《上海金融》2000年第5期;“计算机保险”,“成功保险网”:
http://insurance.xy178.com/info/insure-detail. 432.html,2008年5月10日访问。
欧盟《电子签名指令》第6条第1款和第2款规定,各成员国应确保认证机构对公众签发的证书是一个合格的证书,除非认证机构能够证明其行为并无过错,否则对于因为合理信赖该证书或证书的撤销而造成损害的机构、法人或自然人,应承担相应的法律责任。
参见王利明主编:《电子商务法律制度:冲击与因应》,人民法院出版社2005年版,第58页;欧阳武等:《中国
电子签名法原理与条文解析》,人民法院出版社2005年版,第210—211页。
Ch.E.Knobbout—Bethlem,Consumers in Electronic Payment,Kluwer,Deventer, 1992,p.286.
